React Server Components漏洞CVE-2025-55182

React Server Components（RSC，React 服务器组件）是 React 服务端渲染与组件流式传输机制，广泛用于 Next.js等框架中渲染服务。

一、基本情况

RSC 是一种组件级别的服务端渲染方案，是 React 团队推出的核心特性，目标是在服务端渲染组件逻辑，同时保持客户端交互的灵活性。

RSC 解决传统客户端渲染（CSR）和服务端渲染（SSR）的痛点（客户端包体积过大、首屏加载慢、服务端与客户端数据交互冗余等）。

RSC 并非替代 SSR/CSR，而是对 React 渲染模型的补充和升级，目前已集成在 React 18+ 及 Next.js 13+（App Router）、Remix 框架。

栋科技漏洞库关注到React Server Components 中存在预认证远程代码执行（RCE）漏洞，追踪CVE-2025-55182，CVSS 3.1评分10分。

二、漏洞分析

CVE-2025-55182漏洞是存在于 React Server Components 中的一个预认证远程代码执行（RCE）漏洞，影响多个版本特定开发工具包。

另外，已监测到的并非React Server Components远程代码执行漏洞CVE-2025-55182，还有Next.js远程代码执行漏洞CVE-2025-66478。

在受影响版本中，由于 RSC 在处理 ReplyFlightStream 的反序列化数据时，攻击者可构造恶意请求，最终导致未授权代码执行潜在风险。

具体来说漏洞出现在 Server Function 端点对 HTTP 请求中的 payload 进行不安全的反序列化操作，无需任何身份验证即可触发该漏洞。

攻击者利用该漏洞在目标服务器上远程执行任意代码，从而完全控制服务，由于漏洞存在于预认证阶段，无需任何身份验证即可利用。

由于在解析客户端提交的表单时缺少安全校验，攻击者可通过构造恶意表单请求，直接调用Node.js内置模块，

从而在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。

同时由于Next.js 15.x和16.x版本在使用App Router时，依赖存在缺陷React服务端DOM包，导致攻击者亦可注入恶意代码远程执行命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

三、影响范围

react-server-dom-parcel：19.0.0、19.1.0、19.1.1 和 19.2.0

react-server-dom-webpack：19.0.0、19.1.0、19.1.1 和 19.2.0

react-server-dom-turbopack：19.0.0、19.1.0、19.1.1 和 19.2.0

Next.js  ≥14.3.0-canary.77、≥15 和 ≥16

四、修复建议

react-server-dom-parcel 19.0.1, 19.1.2, 19.2.1

react-server-dom-turbopack 19.0.1, 19.1.2, 19.2.1

react-server-dom-webpack 19.0.1, 19.1.2, 19.2.1

五、参考链接

管理员已设置登录后刷新可查看